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摘 要 : 模糊 测试 (fuzzy test) 在 工控 协议 的 漏洞 挖 气 中 有 很 好 的 适用 性 , 但 传统 的 模糊 测试 存在 着 用 例 的 生成 工作 量 
大 、 失 效率 高 等 产 端 。 为 了 解决 这 些 问 题 ， 设 计 了 一 个 结合 遗传 算法 (genetic algorithm) 与 模糊 测试 的 工控 协议 模糊 
测试 器 GA-fuzzer， 并 引入 基于 维度 变换 的 用 例 空间 模型 和 危险 点 的 概念 。 在 GA-fuzzer 中 ， 构 造 了 更 有 效 的 动态 适 
应 度 函 数 ， 同 时 设计 了 动态 变异 算 子 和 交叉 算 子 ， 优 化 测试 用 例 。 在 相同 实验 环境 下 ， 分 别 采 用 开源 模糊 测试 方法 
Peach 以 及 GA-Fuzzer 对 目标 进行 测试 ,结果 显示 GA-fuzzer 可 有 效 的 改善 传统 遗传 算法 的 过 早 收 化 问题 , 且 与 Peach 
相 比 ， 达 到 相同 的 测试 预期 所 使 用 的 用 例 数量 降低 27.20%， 测 试 时 间 降 低 34.82%。 
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Abstract: Fuzzy Test has good applicability in the exploitation of vulnerabilities in industrial control protocols. However the 


traditional fuzzy test has the disadvantages of large test workload and a high failure rate. In order to solve these problems, it 
design an industrial control protocol fuzzy tester GA-fuzzer which combines genetic algorithm and fuzzy test. and propose 
the concepts of dangerous points and case Space model based on dimensional transformation. In GA-fuzzer, it constructed a 


rE more efficient dynamic fitness function, and design dynamic mutation and crossover operators to optimize test cases. In the 
same experimental environment, it used open source fuzzy test method Peach and GA-Fuzzer to test the target. The results 
show that GA-fuzzer can effectively improve the premature convergence problem of traditional genetic algorithm, and 


compared to Peach, the number of cases used to achieve the same test expectation was reduced by 27.20% and the test time 
was reduced by 34.82%. 
Key words: industrial control protocol test; genetic algorithm; fuzzy test; vulnerability mining 


0 引言 统 内 部 封闭 ， 较 少 与 外 部 联系 ， 导 致 许多 关键 基础 设施 的 控 
制 系 统 ， 很 少 有 强力 的 防御 攻击 的 保护 措施 Fl。 而 从 过 去 到 

工业 控制 系统 (industry control system，ICS) 是 工业 互联 现在 的 一 系列 工控 安全 事件 都 表明 ， 工 业 控 制 系统 的 安全 性 
网 系统 的 “控制 大 脑 ” 是 由 监控 数据 采集 系统 (SCADA)、 分 ”是 一 个 需要 不 断 完 善 和 加 强 的 研究 工作 ， 这 就 要 求 工控 系统 
布 式 控制 系统 (DCS)、 过 程控 制 系统 (PCS)、 可 编程 控制 器 的 安全 防范 需要 从 可 被 攻击 的 可 各 方面 着 手 ， 并 建立 相应 的 
(PLO) 以 及 远程 终端 单元 (RTU) 等 组 成 叫 的 各 控制 系统 的 总 称 ， ”安全 保障 措施 多 9。 
泛 应 用 于 石油 化 工 、 机 械 制造 、 电 力 、 水 利 设施 、 金 融 服 通信 协议 作为 工控 系统 的 数据 信息 采集 、 控 制 指令 的 传 
务 、 商 业 设施 、 交 通 系 统 和 通信 等 支撑 现代 社会 的 重要 行业 递 载 体 ， 其 安全 性 至 关 重 要 。 传 统 的 工控 协议 在 安全 方面 考 
以 及 部 门 外 。 从 广义 的 角度 来 看 ， 凡 是 涉及 到 工业 控制 设备 虑 欠缺 ， 比 如 对 信息 加 密 不 足 、 无 协议 认证 、 部 分 协议 的 文 
的 应 用 场合 ， 都 离 不 开工 业 控制 系统 的 支持 ， 它 是 整个 社会 ” 档 公开 等 ， 这 都 使 得 采用 这 类 协议 的 系统 存在 较 大 的 安全 问 
赖 以 生存 的 基础 条 件 之 一 。 题 ， 而 工控 协议 的 安全 漏洞 是 较为 容易 被 攻击 者 利用 的 突破 
传统 的 工业 控制 系统 在 最 初 的 设计 中 更 加 注重 功能 性 ， 口 之 一 外。 这 种 攻击 成 本 低 , 收益 高 , 攻击 者 只 要 掌握 了 协议 

对 安全 问题 的 考虑 有 所 不 足 ， 而 且 多 属于 专用 系统 。 这 类 系 规约 ， 便 可 以 伪造 针对 协议 中 漏洞 的 数据 报 文 ， 进 而 对 整个 
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录用 定稿 张 冠 宇 ， 等 : 一 种 结合 遗传 算法 的 工控 协议 模糊 测试 方法 第 38 卷 第 3 期 
工控 系统 造成 危害 。 因 此 对 于 工控 协议 的 漏洞 挖掘 ， 是 保障 的 字 节 个 数 ， 单 元 标志 符 是 系统 内 路 由 ， 即 串 行 链 路 的 设备 
工控 系统 安全 不 可 或 缺 的 一 部 分 。 地 址 编码 ;最 后 是 PDPU， 用 于 存储 该 次 通信 的 数据 信息 。 在 

针对 通信 协议 的 安全 研究 ， 国 外 的 发 展 研究 起 步 早 、 发 这 种 模式 下 ， 基 于 串 行 协议 的 PDU， 在 其 头 部 依次 增加 事务 


展 快 、 技 术 新 ， 并 且 逐 渐 趋 于 成 熟 ， 开 发 出 多 种 测试 工具 应 处理 标志 符 、 协 议 标 志 符 、 长 度 信息 和 单元 标志 符 ， 再 封装 
用 于 实际 。 国 内 的 工控 协议 模糊 测试 经 过 近 几 年 的 发 展 也 逐 ”上 TCP 的 协议 报 文 头 部 ， 便 可 以 实现 Modbus 在 以 太 网 上 的 
渐 发 展 完善 。Artemios G. Voyiatzis 等 人 中 设计 了 一 个 模糊 测 传输， 本 文 的 测试 均 在 该 种 传输 模式 下 完成 。 


试 器 ， 用 于 对 Modbus/TCP 可 能 存在 的 安全 漏洞 进行 挖掘 ， 四 首部 i 

它 在 测试 中 加 入 一 个 侦 测 阶段 ， 以 帮助 测试 器 有 更 好 的 预测 sit | wat | ets, tel sri | se 

能 力 ， 及 时 调整 攻击 向 量 ， 这 样 大 大 降低 了 模糊 测试 的 随机 2 个 2 个 字 节 | 1 个 字 节 | 1 个 字 节 | 1 个 字 节 | 个 学 

性 ; 在 文献 [8] 中 提出 了 利用 遗传 算法 的 变异 算 子 来 处 理 多 维 1 Apu >| 

输入 ， 得 到 了 目标 应 用 中 输入 元 素 与 不 安全 函数 之 间 的 影响 图 1 Modbus TCP/IP 数据 帧 结构 

关系 ， 通 过 对 遗传 算 子 的 操作 来 触发 可 以 漏洞 ，Banks G 等 Fig. 1 Modbus TCP/IP data frame structure 

人 在 文献 [9] 中 ,针对 模糊 测试 在 协议 安全 测试 中 的 应 用 受 限 1.2 模糊 测试 

的 问题 ， 构 造 了 一 个 适用 于 网 络 协议 的 模糊 测试 器 SNOOZE， 模糊 测试 (fuzzy test) 最 早 是 由 Barton Miller 教授 在 1989 

它 允 许 测试 者 描述 协议 的 各 状态 及 各 状态 所 需 的 消息 报 文 ， 年 提出 ， 它 的 基本 思想 是 构造 大 量 的 畸形 数据 作为 测试 目标 
利于 对 特定 的 协议 状态 进行 针对 性 测试 ， 在 文献 [10] 中 ， 的 输入 ， 然 后 观测 目标 的 响应 结果 来 分 析 漏 洞 。 由 于 不 需要 


KangJ 等 人 提出 了 一 种 结合 黑 盒 与 白 盒 测 试 的 模糊 测试 系统 ， 了解 目标 的 内 部 结构 ， 只 要 掌握 输入 的 数据 格式 就 可 以 构造 
该 系统 基于 弱点 分 析 方法 准确 的 检测 安全 弱点 ， 挖 掘 被 测 目 例 发 送 给 目标 ， 这 使 得 模糊 测试 有 着 极 强 的 适应 性 和 可 移 
标的 潜在 威胁 ， 在 国内 ， 赖 英 旭 等 人 员 在 模糊 测试 中 ,通过 ” ” 植 性 。 

引入 变异 因子 这 一 概念 ， 也 就 是 工控 系统 漏洞 特征 ， 来 生成 模糊 测试 根据 不 同 的 测试 标 、 测 试用 例 生成 方法 ， 测 
Modbus/TCP 协议 测试 所 需 的 用 例 数 据 ， 并 通过 旁 路 监听 来 ” 试 的 过 程 可 能 会 有 所 差别 ， 这 取决 于 测试 目标 的 特性 、 研 究 
确定 用 例 的 有 效 性 ， 最 终 证 明 模 糊 测 试 应 用 到 工控 协议 的 测 。 ”者 的 技能 以 及 测试 用 例 的 数据 格式 等 。 但 是 无 论 采 用 何 种 方 


试 上 是 行 之 有 效 的 ; 在 文献 [12] 中 , 涂 玲 等 人 为 了 解决 用 例 履 ”法 ， 模 糊 测 试 都 会 包括 六 个 基本 步 双 

盖 率 低 、 测 试 结果 无 法 准确 评价 的 问题 ， 提 出 了 协议 变形 和 a) 确定 测试 目前 信息 , 包括 际 关 型 、 历史 漏洞 信息 等 。 

动态 特征 并 行 混合 的 测试 用 例 生 成 方法 ， 该 方法 在 提高 用 例 b) 确定 测试 数据 输入 量 、 数据 编码 格式 等 所 有 需要 输入 

履 盖 率 的 同时 ， 降 低 了 结果 和 漏洞 误 报 率 ; 张 亚 丰 等 人 03 提 ” ”的 数据 类 型 。 

出 基于 状态 的 工控 协议 模糊 测试 技术 ， 设 计 了 一 个 基于 协议 c) 根据 输入 信息 , 设计 用 例 生 成 方法 ,构造 测试 所 需 的 

状态 机 的 测试 序列 生成 算法 ， 解 决 了 以 往 协 议 测试 中 未 考虑 ] 例 集合 。 

协议 交互 状态 和 测试 方式 、 检 测 手段 受 限 的 问题 ,最终 实现 d) 依据 目标 的 数据 传输 规约 ， 向 目标 发 送 测试 用 例 。 

了 较 高 的 漏洞 命中 率 和 目标 覆盖 率 。 e) 设置 监视 器 , 检测 测试 运行 结果 。 依 据 目 标的 数据 传 
目前 模糊 测试 在 工控 协议 的 漏洞 挖 握 中 的 应 用 研究 ， 主 。” 输 规约 ， 向 目标 发 送 测试 用 例 。 

要 是 寻找 更 有 效 的 用 例 生成 手段 以 及 降低 模糊 测试 的 随机 性 ， f) 根据 最 终结 果 ， 判 定 是 否 存在 可 被 利用 的 漏洞 。 

从 而 达到 降低 用 例 数量 ， 提 高 测试 效率 的 目的 。 本 文 结合 目 在 工业 控制 系统 中 ， 设 备 之 间 的 信息 安全 传输 依靠 协议 

前 的 工控 协议 漏洞 挖掘 的 研究 现状 ， 提 出 了 一 种 针对 工控 协 ” 的 稳定 ， 它 关系 着 工控 系统 的 安全 。 但 工控 系统 的 工作 环境 

议 的 漏洞 挖掘 的 模糊 测试 方法 。 该 方法 结合 遗传 算法 ,设计 ”复杂 多 样 ， 又 导致 测试 所 需 的 工作 量 较 大 。 而 模糊 测试 的 高 

了 动态 适应 度 函 数 来 控制 用 例 的 生成 。 同 时 为 了 评价 用 例 的 。” 适用 性 和 可 移植 性 , 可 以 很 好 的 解决 这 一 问题 ,在 文献 [15] 中 


优 务 ， 提 出 用 例 空间 和 人 危险 点 的 概念 ， 来 计算 用 例 之 间 的 相 。 ”表明 ， 模 糊 测试 经 过 针对 性 的 设计 ， 在 工控 系统 的 安全 测试 中 
似 度 和 重要 度 特征 ， 与 动态 适应 度 函 数 结合 合 ， 可 以 有 效 降 低 。 有 较 好 的 适用 性 ， 能 够 挖掘 系统 通信 协议 中 的 潜在 安全 问题 。 
测试 效率 ， 减 少 测试 后 5 人 
测试 用 例 失效 率 ， 减 少 测试 用 例 数 2 ”GA-fuzzer 的 设计 与 实现 


1 ”相关 理论 本 文 利用 模糊 测试 方法 ， 结 合 Modbus 协议 的 特征 对 其 
1.1 Modbus 通信 协议 进行 测试 .在 传统 的 模糊 测试 中 ,生成 的 测试 用 例 失效 率 高 ， 

Modbus 通信 协议 自 1979 年 由 施耐德 电气 发 表 ， 由 于 部 。 同样 在 对 工控 系统 协议 进行 漏洞 挖掘 时 ， 也 会 出 现 大 量 无 效 
团 简 单 、 易 于 维护 等 优点 ， 逐 渐 成 为 工业 控制 系统 中 最 常见 。 报 文 ， 这 就 导致 测试 的 效率 低下 09。 为 了 解决 模糊 测试 应 用 


的 数据 通信 方式 。 它 的 实质 是 一 种 主 从 式 的 通信 协议 ， 定 义 到 工控 协议 漏洞 挖掘 时 测试 用 例 是 效率 高 的 问题 ， 同 时 让 这 
了 一 个 控制 请 求 设 备 如何 访 问 其 他 服务 设备 的 过 程 04。 个 过 程 自动 化 且 高 效 ， 本 文 将 遗传 算法 引入 到 模糊 测试 中 ， 
物理 接口 等 条 件 的 不 同 ，Modbus ， 在原 有 的 遗传 算法 基础 上 ， 作 出 策略 调整 ， 用 于 测试 用 例 的 
通信 协议 可 以 分 为 适用 于 串 行 链 路 的 Modbus RTU、Modbus 生成 以 及 优化 。 
ASCII， 以 及 通过 TCP/IP 传输 的 Modbus/TCP 等 多 种 模式 。 遗传 算法 是 最 早 的 全 局 寻 优 算法 之 一 ， 它 通过 模仿 生物 
为 了 方便 在 不 同 模式 下 的 数据 传输 ，Modbus 通信 协议 定义 界 的 自然 选择 理论 ， 在 每 一 代 种 群 内 搜索 最 优 个 体 ， 最 终 通 
了 一 个 与 基础 通信 层 无 关 的 数据 应 用 单元 (Protocol Data Unit， ”过 种 群 在 和 欠 代 中 选择 、 交 叉 以 及 变异 等 操作 , 找到 最 优 解 C0。 
PDU), 在 不 同 的 传输 模式 下 ， 只 需要 在 其 首位 加 上 相应 的 附 虽然 遗传 算法 能 够 很 好 的 解决 全 局 寻 优 的 问题 ， 但 《 统 遗传 
加 域 ， 便 可 以 正常 的 传输 数据 信息 。 算法 会 在 种 群 迭 代 过 程 中 逐渐 收敛 ， 导致 生成 的 ] 例 相似 度 
图 1 是 在 TCP 模式 下 的 数据 帧 结构 , 其 中 应 用 数据 单元 。 逐渐 增 大 ， 显 然 是 不 能 直接 用 于 测试 用 例 的 生成 ， 因 此 需要 


(application data unit，ADU) 包 括 六 部 分 : 事务 处 理 标志 符 用 对 遗传 算法 的 遗传 策略 进行 相应 的 改进 调整 。 
于 给 每 次 的 通信 事件 编号 ， 请 求 与 响应 相同 ;协议 标志 符 表 2.1 相关 改进 及 优化 
明 该 数据 帧 所 传输 的 数据 所 遵从 的 协议 类 型 ，Modbus 的 标 对 现 有 的 遗传 算法 的 改进 及 优化 ， 主 要 针对 的 是 传统 遗 
志 是 0x0000; 长 度 域 存 储 包括 单元 标志 符 以 及 PDU 段 在 内 传 算 法 的 过 早 收敛 ， 以 及 模糊 测试 中 用 例 失 效率 高 、 测 试 效 


Tr 
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率 低 的 问题 等 。 主 要 的 


[ 作 


张 冠 宇 ， 等 : 一 种 结合 遗传 算法 的 工控 协议 模糊 测试 方法 


险 点 对 应 的 一 类 内 ， 此 时 种 群 将 被 划分 为 4 个子 种 群 ， 且 每 


可 以 下 几 个 方面 : 


测试 用 例 编 码 方式 : 工控 协议 的 通信 报 文 ， 其 本 质 也 是 
。 因 此 可 以 用 一 维 向 量 表示 一 个 测试 


系列 符号 的 有 序 序列 
报 文 序列 ， 其 
报 文 相 应 字段 的 数据 
格式 化 字符 等 。 


那么 遗传 算法 
表示 ， 如 式 (1)。 初 始 种 群 内 站 


结构 为 case=[c cc . 
其 构成 包括 整数 、 字 符 、 分 隔 符 以 及 
的 一 代 种 群 便 可 以 } 
个体， 编码 采用 二 进 制 


的 协议 中 每 个 字 节 由 8 位 二 进 
字 节 流转 换 便 可 以 向 Modbus 客户 端 发 送 用 例 。 


C1 CD C3 | 
Cm3  … Com 


选择 算 子 : 选择 环节 是 本 文 的 
的 适应 度 函数 将 指导 整个 算法 的 


ya 


Cm Cm2 


6]， 其 中 6 为 该 测试 


矩阵 7 


个 子 种 群 与 危险 点 一 一 对 
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以 。 


] 例 平均 相似 度 :， 尽 可 


i 


Se 


能 提高 用 例 的 覆盖 率 是 测试 用 例 


生成 过 程 中 必须 要 考虑 的 
映 用 例 多 样 性 的 一 个 指标 ， 


， 对 应 


制 来 表示 。 经 过 测试 服务 器 的 


(1) 


个 重要 部 分 。 遗 传 算法 
走向 。 因 此 在 进行 Modbus 


协议 的 模糊 测试 时 ， 合 适 的 适应 度 函 数 显 得 尤为 重要 。 在 设 
计 适 应 度 函 数 之 前 ， 首 先 提 出 两 个 重要 概念 : 用 例 空间 和 和 危 
险 点 。 

Modbus/TCP 的 每 条 数据 报 文 的 相应 字段 有 固定 的 功能 ， 
且 存 在 一 定 的 范围 ， 例 如 从 设备 地 址 码 的 范围 是 0~255 。 
此 将 报 文 的 各 字段 通过 归 一 化 处 理 ， 然 后 映射 到 对 应 维度 的 


空间 


内 , 便 可 以 将 每 条 测试 用 例 
对 任意 的 一 个 测试 用 例 case 来 说 ， 该 用 例 的 第 4 个 字段 对 应 
的 坐标 值 w 的 计算 公式 为 式 (2), 式 中 cm、 


与 用 例 空 间 内 的 点 一 一 对 应 。 


cm 分 别 是 该 种 


VV, = 


那么 该 条 测试 


case={f V Vy ... 


群 内 个 体 的 第 个 字段 的 对 应 的 最 大 


Cn 和 


n—ma 


例 映 射 到 
多 } 。 将 所 有 的 用 例 都 映射 到 用 例 


值 和 最 小 值 。 


Cn_mi x 


2) 


] 例 空间 即 可 表示 为 
空间 内 


一 C IE 


后 ， 每 条 用 例 都 有 自己 


j 之 间 的 相似 程度 ， 
中 维度 较 小 者 。 


可 月 


旧式 3) 


唯一 的 空间 坐标 与 之 唯一 对 
便 可 以 引入 各 个 空间 点 之 间 的 欧 氏 距离 来 表示 两 个 用 例 ; 和 
草 述 为 ， 式 中 m 的 


访 ， 此 时 


值 是 :和 7 


G) 


这 里 对 高 维 的 测试 用 例 进 行 降 维 处 理 ， 虽 然 这 样 会 损失 


一 定 的 数据 信息 ， 但 是 这 些 数 : 
相似 度 以 及 实 


据 存储 字段 ， 对 用 例 的 
忽略 。 


在 用 例 生 成 后 发 送 给 测试 月 


据 多 是 Modbus 协议 报 文 的 数 


点 。 用 例 平 均 相 似 度 可 以 作为 反 
通常 采用 个 体 间 的 平均 距离 进行 


描述 。 但 每 个 个 体 都 需要 计算 本 身 与 其 他 所 有 个 体 的 距离， 
导致 该 方法 出 现 大 量 的 重复 计算 ， 效 率 较 低 。 本 文 设计 了 一 


个 新 的 计算 方法 , 可 以 准确 地 反映 出 种 群 内 个 体 的 分 布 情况 ， 
并 且 降 低 计算 量 。 
首先 对 整个 种 群 内 所 有 个 体 的 四 个 字段 进行 求 和 并 取 均 


值 ， 得 到 中 心 用 例 se=[ “ 


7 4]， 其 中 各 字段 的 计算 公式 如 


式 (4) 所 示 ， 其 中 m 是 当前 种 群 内 个 体 数 量 ,，x 为 用 例 的 四 个 
字段 。 

i (4) 

则 每 条 用 例 的 平均 相似 度 可 以 用 式 (3) 求 得 的 其 与 中 心 


例 的 距离 来 表示 。 这 种 方 
杂 度 为 200)， 相 较 于 一 般 方 
大 时 会 有 显著 的 效率 提升 。 


j 例 空间 、 


提出 


用 例 空间 


法 计算 用 例 平 均 相 似 度 的 时 间 复 
法 0(mlgn) 的 时 间 复 杂 度 , 在 较 


危险 点 以 及 用 例 平均 相似 度 为 基础 ， 本 文 
一 种 新 的 动态 适应 度 函 数 来 描述 用 饮 
是 否 有 人 危险 点 影响 : 
网 空间 内 没有 危险 点 ， 即 4=0 时 ,相似 度 函 


1 的 优先， 其 计算 


数 是 选择 操作 的 主导 因素 ， 


第 大 条 测试 用 例 的 平均 相似 度 ， 


即 此 时 的 个 体 适 应 度 函 数 计算 公式 如 式 (5): 


f (0)=1- 


b) 当 用 例 空 间 内 出 现 危 险 点 ， 
群 划分 成 4 个 子 种 群 ， 每 个 个 体 将 其 


d— 
ase 


ka 
， 
dimax 


k=1,2... 


(5) 


即 9>0 时 , 应 该 首先 将 种 
归于 与 之 距离 最 近 的 


念 点 。 然 
要 度 函 数 作为 适应 度 函 数 ， 


险 点 之 间 的 距离 。 第 ?个 危险 点 对 应 的 子 种 群 中 第 1 个 个 


的 适应 度 函 数 如 式 (6), 式 中 


后 在 各 子 种 群 之 间 独 立 进 行 选择 操作 ， 此 时 采用 


也 就 是 个 体 与 该 子 种 群 所 属 的 


访 蕊 贞 恒 


dn 是 个 体 与 该 子 种 群 所 属 的 危险 


点 之 间 的 距离 ， 


au 是 其 中 的 最 大 者 。 


d,, 


(= (0 


max—p 


然而 


的 漏洞 ， 因 此 为 了 提 


于 危险 点 


不 


人 二 


仿 结 果 的 负面 影响 可 以 


R 务 器 时 ， 根 据 响 应 状态 判断 


是 否 可 以 作为 危险 点 。 
应 ， 测 试用 例 报 文 功能 


并 响应 ， 请 求 超时 ， 测 
常 响应 ; 其 他 ， 测 试 / 
言 、 拒 绝 访 问 等 异常 


正常 ， 月 
上 应， 测试 用例 报 文字 段 异 常 ， 
试用 候 
例 出 


例 的 响应 状态 


[a| 


晶 服 务 端 可 以 正常 识别 该 异常 


有 四 种 ， 正 和 常 响 


定 是 可 利用 


高 测试 效率 , 给 每 个 危险 点 设置 了 20 代 的 存活 周期 。 当 达到 


最 大 存活 周 


期 后 ， 记 录 人 危险 点 的 测 
交叉 与 变异 算 子 : 交叉 和 变异 算 子 ( p.、 


试 信息 后 将 其 消除 。 
Pw) 是 遗传 算法 


中 保持 种 群 多 样 性 的 关键 贷 


及 务 端 可 以 正常 响应 ， 异 常 响 


L 
-和 


4 


La 


岗 未 知 异常 ， 


现 未 知 异常 ， 服 务 端 不 能 正 
导致 服务 端 关闭 通 


0 种 状态 中 ,着 啊 应 状 


那么 测试 用 例 属 于 Modbus 


合 Modbus 协议 规约 


例如 不 对 后 续 的 用 例 啊 
多 用 例 有 大 概率 对 
的 用 例 标记 成 危险 点 


行 遗 传 算法 和 迭 


上 
| 


j] 例 ; 当 响应 出 现 其 他 ; 


以 、 


发 测 


大 态 


处 了 


态 为 正常 响应 或 者 异常 响应 ， 


协议 的 正常 报 文 ， 都 可 以 被 测试 
服务 端 识别 ， 如 果 为 请 求 超时 ， 说 明 测试 用 


例 的 字段 信息 不 


子 。 由 于 种 群 在 迭代 时 不 能 有 过 


高 的 个 体 相似 度 ， 因 此 交叉 、 变 异 的 概率 对 种 群 的 多 样 性 有 


较 大 影响 。 文 献 [20] 中 主 提 
可 以 有 效 的 根据 种 群 ; 
文 将 | 


j 例 构成 的 种 群 状态 与 该 公式 结合 ， 


8 的 自 适 应 交叉 、 变 异 算 子 设计 ， 


伏 态 实时 的 调整 变异 以 及 交叉 概率 ， 本 


构造 出 了 适应 于 


Modbus 模糊 测试 的 自 适 应 概率 函数 如 式 (7): 
Be” de di _ 
5 pi- ee > >b,p<1-b CO) 
P 其 他 


网 不 能 被 测试 服务 端 识 别 ， 属 于 


,测试 服务 端 出 现 严重 错误 ， 
FF 关闭 或 者 拒绝 服务 等 异常 状 


斌 有 


将 危险 点 对 应 的 用 例 坐标 标记 在 用 例 空间 内 ， 在 种 群 进 
尺 时 ， 计 算 个 体 与 危险 点 之 间 的 距离 便 可 以 给 
出 该 点 的 重要 度 。 当 空间 内 有 4 个 危险 点 时 ， 


R 务 器 的 异常 ， 将 引发 该 状态 


首先 计算 每 个 


用 例 点 与 各 个 危险 点 的 距离 ， 比 较 后 将 其 


其 中 4d 为 当前 ( 子 ) 种 群 内 所 有 个 体 间 的 平均 距离 ，dw 、am 
分 别 是 最 大 距离 与 最 小 距离 。 参 数 4、 


5 用 于 判断 当前 种 群 


是 否 相似 度 过 高 ， 文 中 取 值 经 验 值 
构造 的 交叉 、 变 异 概 率 ， 其 大 小 随 种 群 的 状态 发 生 改变 : 当 


4 较 小 , 即 种 群 内 的 测试 有 


a=0.72 ，5=025081。 这 样 


日 例 之 间 相 似 度 较 高 时 ,此 时 算得 


的 概率 值 较 大 ， 进 1 
的 变异 概率 ， 提 高 多 样 性 ; 


[使 得 当前 遗传 迭代 的 种 群 个 体 有 更 高 


淘 过 


< 较 大 时 ， 则 与 之 相对 反 。 


归 入 离 其 最 近 的 危 


基于 前 文 所 述 的 理论 方法 ， 设 计 的 遗传 算法 流程 如 图 2 


所 示 ， 其 中 的 主要 步骤 有 以 下 几 个 部 分 : 
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a) 构造 初始 用 例 种 群 用 于 用 例 的 生成 与 优化 , 输入 到 算 。 [2 
法 中 ; | 人 = 
b) 根据 当前 种 群 用 例 空间 状态 、 危 险 点 个 数 选择 适应 度 | [ee | su 
函数 ， 若 不 存在 危险 点 ， 转 到 步骤 ， 若 存在 危险 点 , 转 到 | [nmin] pam yy | 
步 又 d) ; - 扩大 测试 用 例 集 RM ' ' 有 
c) 选择 用 例 平均 相似 度 作为 适应 度 函数 , 并 进行 用 例 间 一 [aonx Ee 
相似 性 检验 ， 转 到 步骤 6) ; ns ee 3 
d) 首先 根据 用 例 所 属 危险 点 将 种 群 划 分 为 若干 子 种 群 ， 图 3” GA-fuzzer 结构 设计 
选择 个 体重 要 度 作为 适应 度 函 数 ， 转 到 步骤 ej ; Fig.3 Structural design of GA-fuzzer 
个 体 适应 度 在 种 群 内 半 内 执行 遗 
本 3 ”实验 及 结果 分 析 
f) 判断 是 否 满足 终止 条 件 : 车 不 满足 ， 根 据 更 新 后 的 危 为 了 验证 所 提 方 法 的 有 效 性 以 及 测试 其 性 能 表现 ， 分 别 
险 点 信息 , 在 用 例 空间 内 标记 新 增 危 险 点 ,返回 步骤 bj ; 若 。 采用 开源 模糊 测试 方法 Peach 以 及 本 文 所 提 方 法 对 目标 进行 
满足 终止 条 件 ， 结 束 算 法 ; 测试 。 Peach 是 由 Michael Eddington 等 人 在 2004 年 发 布 的 一 
g) 算法 终止 ， 输 出 测试 日 志 。 个 开源 模糊 测试 工具 ,其 测试 对 象 包括 文件 格式 通信 协 议 、 
相 较 于 传统 遗传 算法 ， 主 要 加 入 了 动态 适应 度 函 数 ， 通 。 ”API 等 。 通 过 对 Peach Pit 文件 的 配置 ， 包 括 数据 类 型 、 变 异 
过 监测 用 例 种 群 内 是 否 存在 危险 点 用 例 选 择 不 同 的 遗传 算法 。 策略 、 数 据 长 度 等 ， 可 以 实现 对 工控 协议 模糊 测试 091。 


适应 度 函 数 ， 避 免 了 传统 遗传 算法 在 应 用 的 用 例 生 成 时 ， 一 实验 环境 : 实验 硬件 平台 为 mtel(R) Core™ 15-3470 CPU 
旦 收敛 之 后 ， 用 例 出 现 较 高 的 相似 性 ， 导 致 测试 用 例 失 效率 。” @3.20GHz; 3.79GB RAM; Windows 10; 开发 语言 为 Python3.6; 
迅速 升 高 的 问题 。 同 时 在 加 入 的 动态 变异 及 选择 概率 ， 可 以 ”测试 采用 Modbus 通信 仿真 软件 。 首 先 使 用 Modbus Poll 与 
根据 种 群 状态 调整 种 群 内 用 例 的 多 样 性 ， 尽 可 能 的 在 提高 测 。 Modbus Slave 建立 正常 的 数据 通信 ， 使 用 Wireshark 抓 包工 
试 命中 率 的 同时 提高 用 例 的 覆盖 率 。 获取 正常 的 通信 报 文 ， 从 中 选取 具有 代表 性 的 数据 报 文 进 


行 数据 特征 的 分 析 ， 并 以 此 为 基础 构造 初始 种 群 ， 并 将 其 作 
始 种 群 


为 各 测试 方法 的 输入 ， 对 目标 进行 测试 。 

两 组 实验 中 的 主要 相同 参数 设置 为 : 种 群 规 模 size=100 ; 
交叉 标准 概率 p. =0.76 ; 变异 标准 概率 mm =0.03 。 

实验 终止 条 件 为 挖掘 出 漏洞 ， 首 先 为 了 测试 前 文中 提出 


oe We 的 用 例 优化 方法 的 性 能 ， 对 两 种 方法 所 生成 的 用 例 以 种 群 为 
单位 统计 每 一 代 的 用 例 平均 相似 度 ， 如 图 4 所 示 ， 其 中 用 例 
和 均 相似 度 的 计算 方法 如 。 
s=1— da (8) 
0 ea ee 
.2 一 Peach 一 CA fuzzer 
用 用 例 执行 模 = 
执行 测试 更 
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图 2 基于 遗传 算法 的 测试 用 例 生成 算法 0 100 200 300 400 500 600 700 800 900 1000 
Fig.2 Case generation algorithm based on genetic algorithm 迁 代 次 数 / 代 
2.2 ”GA-fuzzer 设计 图 4 用 例 平均 相似 度 变化 趋势 
结合 改进 的 遗传 算法 和 模糊 测试 ,本 文 设 计 的 GA-fuzzer Fig. 4 Trend of Case Average Similarity 
如 图 3 所 示 。 对 结果 进行 分 析 后 可 知 ， 在 Peach 测试 中 ， 变 异 概率 在 
a) 协议 分 析 : 分 析 Modbus 协议 报 文 特征 ， 对 协议 报 文 ”测试 前 由 配置 文件 给 定 后 ， 并 不 能 通过 判断 用 例 生成 的 状态 
的 各 字段 数据 类 型 、 功 能 特性 以 及 取 值 范围 作 标记 ， 同 时 捕 ” 进行 调整 ， 虽 然 用 例 的 平均 相似 度 较 低 ， 但 针对 性 较 弱 ， 用 
获 正常 的 通信 报 文 ， 构 造 出 较 高 质量 的 初始 测试 种 群 。 例 的 生成 趋向 于 随机 。 而 GA-fuzzer 的 用 例 种 群 的 状态 动态 
b) 用 例 生成 : 将 构造 好 的 初始 种 群发 送 给 用 例 生成 单元 ， 调整 ， 当 危险 点 增多 时 ， 由 于 遗传 算法 的 收敛 特性 ， 会 导致 
该 环节 的 功能 包括 危险 点 标记 、 计 算 各 动态 适应 度 函 数 、 种 。 生成 的 用 例 逐 渐 收 敛 于 所 属 危 险 点 ， 此 时 对 变异 概率 进行 适 
群 个 体 的 遗传 操作 、 更 新 用 例 空间 等 。 当 的 调整 ， 可 提高 危险 点 附近 的 漏洞 命中 率 。 
c) 仿真 测试 : 在 种 群 优 化 完毕 后 ， 该 代 所 有 的 个 体 经 过 另外 , 在 结果 中 有 部 分 种 群 的 用 例 相 似 度 超过 了 0.7, 例 
Modbus 模拟 服务 器 发 送 给 测试 目标 进行 测试 。 如 770 代 左 右 的 种 群 ， 经 过 对 原始 数据 分 析 ， 该 种 情况 下 为 
d) 异常 检测 : 将 每 一 条 测试 用 例 的 运行 结果 记录 到 测试 种群 内 存在 危险 点 ， 且 趋 于 收敛 。 根 据 前 文 提 到 的 动态 适应 
日 志 ， 并 确认 是 否 存 在 危险 点 ， 以 此 更 新 危险 点 信息 、 适 应 。 度 函 数 ， 此 时 的 用 例 生成 趋向 于 危险 点 ， 提 高 用 例 的 漏洞 命 
度 函 数 、 变 异 概率 和 交叉 概率 。 中 概率 ， 因 此 出 现 用 例 间 相 似 度 较 高 。 
e) 结果 分 析 : 分 析 实 验 最 终结 果 , 确定 是 否 存在 可 被 利 在 两 组 实验 在 相同 环境 下 分 别 进行 多 次 测试 后 ， 对 生成 
用 的 安全 漏洞 。 的 用 例 进行 统计 ， 主 要 测试 数据 的 平均 值 如 表 1 所 示 。 
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录用 定稿 张 冠 宇 ， 
表 1 实验 结果 数据 对 比 
Tab. 1 Comparison of experimental results 
生成 方法 例 数量 /个 ”相似 度 ”时 长 hh 漏洞 数 /个 
GA-fuzzer 98561 0.4381 14.60 1.00 
Peach 135384 0.3354 22.40 0.80 
同时 在 三 组 测试 中 选取 其 中 具有 代表 性 的 连续 100 代 种 群 
作为 示例 数据 ， 归 一 化 后 抽象 到 三 维 用 例 空 间 内 ， 可 以 得 到 各 
测试 方法 所 生成 的 用 例 在 用 例 空间 内 的 分 布 情况 , 如 图 5 所 示 。 


(a) Peach 


图 5 各 方法 生成 的 月 


Fig. 5 


从 各 测 
开源 模糊 测 


(b) GA-fuzzer 


例 在 


例 空 间 内 的 


分 布 


Distribution of cases of each method in the case space 


试 方法 的 测试 用 侈 


| 在 ) 


间 内 的 


例 空 


试 框架 


所 产生 的 


均匀 ， 如 图 


5(a)。 这 是 


各 ， 更 多 的 是 趋向 于 更 高 


例 ， 
于 其 用 例 


在 | 
的 生成 没 


j] 例 空间 


体 间 有 


chinaXiv:202009.00100v1 


图 
示例 数 ] 


亡 险 上 


这 样 可 以 同时 对 
在 空间 内 没有 危险 点 或 者 所 有 危险 点 的 
例 的 生成 倾向 于 1 


E 的 关 可 让 性 ? 


于 5(b) 是 采 月 
居中 > 
列 空 间 内 存在 危 
点 进行 


的 履 盖 率 。 该 方法 虽然 
是 针对 性 不 理 ; 


分 布 状 态 来 看 ， 


内 的 分 布 较为 


较 好 的 控制 集 


然 能 够 保持 个 


想 ， 不 


漏洞 , 这 导致 测试 所 需 的 时 间 较 长 , 且 需 要 大 量 
月 GA-fuzzer 的 模 狗 
存在 两 个 危险 点 ， 根 据 所 提 方 法 
险 点 时 ， 种 群 内 个 体 首先 会 根 ] 
聚 类 ， 然 后 在 所 在 类 的 内 部 各 
多 个 可 疑 漏洞 进 和 


可 


能 快速 的 定位 


ll 


自 进 


的 测试 用 例 ; 


测试 方法 所 生成 的 测试 用 例 。 


的 设计 ， 在 用 
据 距 其 较 近 的 
行 遗 传 收敛 ， 


进行 针对 测试 ,提高 测试 效率 ; 


手 活 周 


l 


高 覆盖 


、 低 相 


的 趋势 ， 保 证 


以 


的 覆盖 率 。 
应 度 函数 、 


通过 对 空 


试 覆 盖 率 和 很 好 的 针对 性 ， 


表 1 中 的 数据 也 表明 ， 在 相同 的 实验 环 
与 Peach 模糊 测 
测试 器 在 时 间 效率 上 
时 长 缩短 约 34.82%, 同时 测试 所 需 的 测试 用 例 


的 情况 时 ， 
fuzzer 模 狗 


约 27.20% 。 


遗传 算 子 进行 动态 更 新 ， 


了 效 的 降 


间 内 是 否 存在 危险 点 来 对 遗 


过 


期 结束 时 ， 用 
测试 具有 较 高 
千 算 法 的 适 


可 以 同时 
氏 测试 用 


4 ”结束 语 


试 工具 机 


竞 中 ， 


定 的 优势 


日 比 ， 本 文 所 


较 高 的 测 
例 的 失效 率 。 
成 功 完成 测试 
提 的 GA- 
， 可 以 将 测试 


数量 也 降低 了 


本 文 将 遗传 算法 应 用 到 工控 协议 的 模糊 测试 中 ， 设 计 了 


j 用 例 


个 利 


空间 来 动态 


及 变异 概率 的 模糊 测试 器 ， 为 模糊 测试 在 工控 
了 一 个 新 的 思路 和 方法 : 


是 供 


足 ， 同 时 


概念 在 一 定 程 


bj 解 


呈 度 上 弥补 了 模糊 测试 的 用 
也 解决 了 传统 遗传 算法 过 早 收敛 的 问 
度 函 数 的 加 入 ， 使 得 遗传 算法 的 遗 
周 整 ， 生 成 的 测试 用 人 


调整 遗传 算法 适应 度 函 数 、 


用 例 空 
例 生成 


交叉 以 
协议 漏洞 挖掘 
间 和 和 危险 点 的 
随机 性 强 的 不 


私 操 作 可 以 


例 更 加 


体 的 状态 实时 jj 


网 失效 率 提高 测试 效率 。 


一 步 工作 将 


涡 
模型 做 深 


步 的 而 


8 


题 ， 动 态 适 应 
0 


的 测试 


辣 腾飞 ， 


据 损失 ， 优 化 动态 适应 
和 ] 例 质量 。 


尚文 利 ， 赵 剑 明 ， 


函数 的 调整 策略 ， 


基于 遗传 算法 优化 的 OCSVM 双 轮 廓 


ChinaXiv 合 作 期 刊 


第 38 卷 第 3 期 


模型 异常 检测 算法 [J/JOL]. 计算 机 应 用 研究 , TP. 20180811: 1-3. (Yan 


Tengfei, Shang Wenli, Zhao Jianming, et al. Anomaly detection 
algorithm based on OCSVM double contour model of genetic algorithm 
optimization for industrial control system [J/OL] , Application Research 
of Computers, TP. 20180811: 1-3.) 

安 高 峰 ， 朱 长 明 , 雷 晓 锋 , 等 . 我 国 工业 控制 系统 信息 安全 政策 和 标 
准 体系 架构 研究 [加 . 信 ， gg to 


Gaofeng, Zhu Changming, Lei Xiaofeng, et al. Information Security 


[2] 


Policy and Standard System of Industrial Control in China [J]. Research 
on Information Security, 2018, 4 (10): 959-964.) 

万 明 ， 尚文 利 ， 曾 胸 ， 等 . 基于 功能 码 深度 检测 的 Modbus/TCP 通信 
访问 控制 方法 [加 . 信息 与 控制 , 2016, 45 (02): 248-256. (Wan Ming 
Shang Wenli Zeng Peng, et al. Modbus/TCP Communication Control 


[3] 


Method Based on Deep Function Code Inspection [J] , Information and 
Control, 2016, 45 (02): 248-256.) 

能 琦 ， 彭 勇 , 伊 胜 伟 ,等 . 工控 网 络 协议 Fuzzing 测试 技术 研究 综述 
[]. 小 型 微型 计算 机 系统 , 2015, 36 (3): 497-502. (Xiong Qi, Peng 


[4] 


Yong, Yi Shengwei, et al. Survey on the fuzzing technology in industrial 
network protocols [J]. Journal of Chinese Computer Systems, 2015, 36 
(3): 497-502.) 

] Edmonds J. Security Analysis of Multilayer Protocols in SCADA 


un 


[ 


Networks [D]. Department of Computer Science, University of Tulsa, 
Tulsa, Oklahoma, 2006. 
[6] Huitsing P, Chandia R, Papa M, et al. Attack taxonomies for the Modbus 
protocols [J]. International Journal of Critical Infrastructure Protection, 
2008, 1 (none): 37-44. 
Voyiatzis A G, Katsigiannis K, Koubias S, et al. A Modbus/TCP Fuzzer 


for test internetworked industrial systems [Cl]. 2015 IEEE 20th 


[7] 


Conference on Emerging Technologies & Factory Automation (ETFA) . 
IEEE, 2015. 
[8] Wu Zhiyong, Atwood J W, Zhu Xueyong. A New Fuzzing Technique for 
Software Vulnerability Mining [J]. Journal of Communication and 
Computer, 2011 (2): 88-95. 
[9] Banks G, Cova M, Felmetsger V, et al. SNOOZE: Toward a Stateful 
Network protocol fuzzer [C] Information Security, 9th International 
Conference, ISC 2006, Samos Island, Greece, August 30-September 2, 
2006, Proceedings. DBLP, 2006. 
[10] Kang J, Park J H. A secure-coding and vulnerability check system based 
on smart-fuzzing and exploit [J]. Neurocomputing, 2017, 256 (20): 23- 
34. 
[11] 赖 英 旭 , 杨 凯 翔 , 刘 静 ， 等 . 基于 模糊 测试 的 工控 网 络 协议 漏洞 挖 气 
a ee ioe nn 
Yang Kaixiang, Liu Jing, et al. A Vulnerability Mining Method for 
Industrial Control Network Protocol Based on Fuzz Test [J/OL]. 
0 Integrated pe Systems: TP 20180511, 1-22.) 
马 跃 , 程 诚 , 等 . 基于 协议 混合 变形 的 Web 安全 模糊 测试 与 
效用 评估 方法 四. 算 机 科学 ,2017, 44 (05): 141-145. (Tu Ling, Ma 
Yue，Cheng Cheng, et al. Hybrid Protocol Deformation Based Web 


[12] 涂 


Security Fuzzy Test and Utility Evaluation Approach [J]. Computer 
Science, 2017, 44 (05): 141-145.) 

[13] 张 亚 直 , 洪 征 , 吴 礼 发 ,等 . 基于 状态 的 工控 协议 Fuzzy Test 测试 技 
术 [J]. 计算 机 科学 , 2017, 44 (05): 132-140. (Zhang Yafeng, Hong 
Zheng, Wu Lifa, et al. Form-syntax based Fuzzing method for industrial 
control protocols [J]. Computer Science, 2017, 44 (05): 132-140.) 

[14] 程 杨 , 刘 学 平 ， 占 涛 . 一 种 基于 MODBUS 协议 的 工业 控制 系统 设计 
加. 机 械 设计 与 制造 ,2011 (01): 1-3. (Cheng Yang, Liu Xueping, Zhang 
Tao, Design of an Industrial Control System Based on MODBUS 
Protocol [J]. Machinery Design & Manufacture, 2011 (01): 1-3.) 


202009.00100v1 


chinaXiv 


[15] 崔 放 ， 温 彦 龙 . 工业 控制 系统 模糊 测试 研究 与 应 用 [四 . 信息 安全 与 
通信 保密 ,2018 (9): 73-78. (Cui Xin, Wen Yanlong, Analysis and 
application of fuzzy test protocol for industrial control systems [J]. China 
Information Security, 2018 (9): 73-78.) 

[16] 张 亚 直 , 洪 征 , 吴 礼 发 ,等 . 基于 范式 语法 的 工控 协议 Fuzzy Test 测 
试 技术 [J]. 计算 机 应 用 研究 ,2016, 33 (8): 2433-2439. (Zhang Yafeng， 
Hong Zheng, Wu Lifa, et al. Form-syntax based Fuzzing method for 
industrial control protocols [J]. Application Research of Computers, 
2016, 33 (8): 2433-2439.) 

[17] 于 海 试 ， 曾 鹏 ,尚文 利 等 . CN 105721230, 一 种 面向 Modbus 协议 的 
模糊 测试 方法 : 中 国 [P/OL]. 2016. 06. 29. (Yu Haibin, Zeng Peng， 


ChinaXiv 合 作 期 刊 


录用 定稿 张 冠 宇 ， 等 : 一 种 结合 遗传 算法 的 工控 协议 模糊 测试 方法 第 38 卷 第 3 期 


Shang Wenli, et al. CN 105721230 A fuzzy test method for Modbus 
protocol: China [P/OL]. 2016. 06. 29.) 

[18] 李 柱 . 基于 自 适应 遗传 算法 的 软件 测试 用 例 自动 生成 [J]. 计算 机 
系统 应 用 ,2016, 25 (01): 192-196. (Li Zhu, Automatic Test-Case 
Generation Based on Adaptive Genetic Algorithm [J]. Application of 
Computer System, 2016, 25 (01): 192-19) 

[19] 伊 胜 伟 ， 张 名 试 , 谢 丰 ， 等. 基于 Peach 的 工业 控制 网 络 协议 安全 分 
析 [加 . 清华 大 学 学 报 : 自然 科学 版 ,2017, 57 (1): 50-54. (Yi Shengwei， 
Zhang Chongbin, Xie Feng, et al. Security analysis of industrial control 
network protocols based on Peach [J]. Journal of Tsinghua University: 
Science &Technology, 2017, 57 (1): 50-54. 


